De afgelopen jaren zijn software supply chain-aanvallen uitgegroeid tot een belangrijke cybersecurity-bedreiging, gericht op de complexe netwerken van relaties tussen organisaties en hun leveranciers. Dit artikel gaat dieper in op opmerkelijke recente supply chain-aanvallen, onderzoekt hoe deze plaatsvonden en bespreekt strategieën voor preventie en beperking. Van inbreuken die gevoelige gegevens in gevaar brengen tot aanvallen die softwarekwetsbaarheden misbruiken, het begrijpen van deze incidenten is cruciaal voor het versterken van de verdediging. We onderzoeken ook hoe de uitgebreide oplossingen van Scribe Security deze bedreigingen kunnen aanpakken en organisaties robuuste bescherming kunnen bieden.
Recente aanvallen op de software-toeleveringsketen
SiSense-aanval (april 2024)
Aanvallers hebben SiSense, een business intelligence-bedrijf, gehackt door de GitLab-repository te compromitteren, die inloggegevens bevatte voor hun Amazon S3-account. Dit maakte ongeautoriseerde toegang en potentiële datalekken mogelijk. CISA greep in en SiSense moest samenwerken met experts uit de industrie om de impact van de inbreuk te beperken.
Okta Supply Chain-aanval (oktober 2023)
Dreigingsactoren kregen toegang tot Okta's klantondersteuningsbeheersysteem door inloggegevens te verkrijgen, waardoor ze gevoelige bestanden van recente ondersteuningscases konden bekijken. De inbreuk werd laat gemeld aan klanten zoals BeyondTrust, wat het risico van vertraagde respons op kwetsbaarheden in de toeleveringsketen benadrukte.
JetBrains TeamCity kwetsbaarheid (september/oktober 2023)
Door een kritieke authenticatie-bypass-kwetsbaarheid in JetBrains TeamCity te exploiteren, kregen Russische dreigingsactoren (Cozy Bear) administratieve controle over de getroffen servers. Deze inbreuk stelde hen in staat om externe code uit te voeren en mogelijk de toeleveringsketens van organisaties die TeamCity gebruiken, in gevaar te brengen.
3CX-aanval (maart 2023)
Aanvallers hebben een kwaadaardig bibliotheekbestand ingevoegd in de 3CX-desktopapps voor Windows en macOS, die een gecodeerde payload voor Command & Control-bewerkingen hebben gedownload. De inbreuk, toegeschreven aan de Noord-Koreaanse Lazarus Group, benadrukte risico's in softwarebouwomgevingen, aangezien de kwaadaardige apps waren ondertekend met geldige 3CX-certificaten.
Partnerinbreuk bij Applied Materials (februari 2023)
Een ransomware-aanval op een grote leverancier (vermoedelijk MKS Instruments) van Applied Materials verstoorde halfgeleiderleveringen, wat het bedrijf ongeveer $ 250 miljoen kostte. De inbreuk had gevolgen voor de divisies Vacuum Solutions en Photonics Solutions van de leverancier, waardoor de orderverwerking en verzending vertraagd werden.
MOVEit-campagne (juni 2023)
De MOVEit-bestandsoverdrachtsoftware werd uitgebuit door de Cl0p-ransomwaregroep, die zich richtte op meerdere kwetsbaarheden voor uitvoering van externe code. De campagne trof meer dan 342 organisaties, waaronder grote bedrijven als Norton en EY, wat de omvangrijke reikwijdte en het potentieel voor schade van supply chain-aanvallen aantoont.
PyTorch Framework-aanval (december 2022)
Aanvallers hebben de nightly build packages van het PyTorch machine learning framework gecompromitteerd en schadelijke code geïnjecteerd die data van gebruikerssystemen verzamelde. De inbreuk onderstreepte de gevaren van het vertrouwen op externe repositories en de noodzaak van strenge validatie van softwareafhankelijkheden.
Fantasy Wiper-aanval (december 2022)
Deze aanval omvatte de distributie van een kwaadaardige update van de Kaseya VSA-software, die wereldwijd gegevens van systemen wiste. De inbreuk liet zien hoe software-updates, indien gecompromitteerd, kunnen dienen als een krachtige vector voor grootschalige cyberaanvallen.
Deze voorbeelden van aanvallen op de softwaretoeleveringsketen illustreren de diverse methoden en ernstige gevolgen van aanvallen op de softwaretoeleveringsketen. Ze benadrukken de dringende noodzaak van robuuste cyberbeveiligingsmaatregelen en waakzame bewaking van componenten en diensten van derden.
Omvattende oplossingen voor het voorkomen van aanvallen op de softwaretoeleveringsketen
Het platform van Scribe Security kan helpen bij het detecteren en voorkomen van software supply chain-aanvallen, zoals de genoemde, door een combinatie van geautomatiseerd SBOM (Software Bill of Materials)-beheer, kwetsbaarheidsscans en realtime monitoring van CI/CD-pipelines. Het platform richt zich op integriteitscontroles, herkomstregistratie en continue beveiligingsvalidatie, zodat elk softwareonderdeel wordt geverifieerd en er niet mee is geknoeid.
Zo kan Scribe Security helpen specifieke aanvalsscenario's te beperken:
1. SiSense-aanval (april 2024) – GitLab-repository-inbreuk
In het geval van de SiSense-aanval, waarbij aanvallers ongeautoriseerde toegang kregen tot gevoelige inloggegevens die waren opgeslagen in een gecompromitteerde GitLab-repository, pakt het platform van Scribe Security dergelijke kwetsbaarheden aan door repositories continu te controleren op blootgestelde inloggegevens of verkeerde configuraties. geautomatiseerde scans en toegangscontrolebewakingScribe detecteert mogelijke beveiligingsfouten, zoals ingebedde inloggegevens, die een gewild doelwit kunnen zijn voor aanvallers.
Bovendien heeft het platform sporen privilege-escalatie en ongeautoriseerde toegang pogingen, om inbreuken te detecteren en voorkomen voordat ze kunnen escaleren. In het geval van een inbreuk maken de responsmogelijkheden van Scribe snelle detectie en beperking mogelijk, waardoor de potentiële schade door ongeautoriseerde toegang tot gevoelige infrastructuur zoals Amazon S3-accounts wordt verminderd.
2. Okta Supply Chain-aanval (oktober 2023) – Gecompromitteerd klantondersteuningssysteem
Bij de Okta-aanval, waarbij kwaadwillenden misbruik maakten van kwetsbaarheden in klantondersteuningssystemen om toegang te krijgen tot gevoelige klantbestanden, helpt het platform van Scribe dergelijke inbreuken te voorkomen door op rollen gebaseerde toegangscontrole (RBAC) en continue codeondertekeningDoor ervoor te zorgen dat alle integraties van derden (zoals systemen voor klantondersteuning) voortdurend worden gecontroleerd, bewaakt en de toegang ertoe wordt beperkt, minimaliseert Scribe het risico dat inloggegevens in gevaar komen.
Het platform van Scribe Security maakt het ook mogelijk uitgebreide auditlogboeken en het volgen van activiteiten om ongeautoriseerde toegang of ongebruikelijke activiteiten te detecteren, zodat organisaties snel kunnen reageren en belanghebbenden onmiddellijk kunnen waarschuwen.
3. JetBrains TeamCity kwetsbaarheid (september/oktober 2023) – Authenticatie-omzeiling
De JetBrains TeamStad kwetsbaarheid stelde aanvallers in staat om administratieve controle te krijgen over de getroffen servers. Het platform van Scribe Security richt zich op integriteitscontroles en herkomstverificatie, waardoor wordt gewaarborgd dat kritieke software-infrastructuur zoals CI/CD-tools (bijv. TeamCity) ongeschonden blijft. Scribe's continue zekerheid mogelijkheden valideren de integriteit van alle componenten in de softwareomgeving, waardoor de introductie van ongeautoriseerde of schadelijke code wordt voorkomen.
Door gebruik te maken van authenticatie en toegangsbeheer Scribe voorkomt bovendien ongeautoriseerde toegang tot ontwikkelservers, zodat alleen geverifieerd personeel kritieke infrastructuur kan wijzigen of beheren.
4. 3CX-aanval (maart 2023) – Kwaadaardige bibliotheek in ondertekende apps
De 3CX-aanval, waarbij aanvallers een schadelijk bibliotheekbestand in 3CX-desktop-apps plaatsten, onderstreept het belang van code-integriteit.Scribe Security's continue codeondertekening en herkomstcontroles Zorg ervoor dat elke build en elk softwarepakket is geauthenticeerd, ondertekend en vrij is van manipulatie.
Als 3CX zulke continue validatietools had gebruikt, hadden ze kunnen detecteren dat hun ondertekende applicaties tijdens het bouwproces waren gecompromitteerd. Het platform voorkomt ook het gebruik van gecompromitteerde certificaten door de geldigheid van certificaten te controleren en teams te waarschuwen voor eventuele afwijkingen in het ondertekeningsproces.
5. Inbreuk op partner van Applied Materials (februari 2023) – Ransomware-aanval op leverancier
In het geval van Applied Materials, waar een ransomware-aanval de toeleveringsketen verstoorde, zorgt het platform van Scribe voor veerkracht in de toeleveringsketen door Transparantie in de toeleveringsketen op basis van SBOMDoor alle externe leveranciers continu te monitoren, zorgt Scribe ervoor dat organisaties inzicht krijgen in welke componenten risico lopen en proactieve maatregelen kunnen nemen om hun toeleveringsketen te beveiligen.
Bovendien, Scribe's detectie van kwetsbaarheden Hulpmiddelen identificeren potentiële risico's bij leveranciers en markeren verouderde of niet-gepatchte softwarecomponenten die kwetsbaarheden in de bredere toeleveringsketen kunnen introduceren.
6. MOVEit-campagne (juni 2023) – Misbruikte software voor bestandsoverdracht
De MOVEit-bestandsoverdrachtscampagne van de Cl0p-ransomwaregroep benadrukte hoe kwetsbaarheden in kritieke software zoals bestandsoverdrachtstools verstrekkende gevolgen kunnen hebben. Scribe's geautomatiseerd scannen op kwetsbaarheden controleert voortdurend op dergelijke zwakke plekken in software van derden, zoals MOVEit, zodat organisaties kwetsbaarheden kunnen verhelpen voordat ze worden misbruikt.
Scribe Security verbetert ook de beveiliging door afhankelijkheidsbeheer, ervoor zorgen dat alle softwareafhankelijkheden (bijvoorbeeld software voor bestandsoverdracht) up-to-date zijn en vrij van bekende kwetsbaarheden.
7. PyTorch Framework-aanval (december 2022) – Gecompromitteerde externe repositories
De PyTorch-frameworkaanval toonde de risico's van het vertrouwen op externe repositories. Het platform van Scribe Security richt zich op het verzekeren van de integriteit en herkomst van alle softwarecomponenten, ongeacht of ze afkomstig zijn van externe repositories of interne ontwikkelomgevingen. Door de bron en beveiliging van elk component te valideren, voorkomt Scribe dat schadelijke code wordt geïnjecteerd in nightly builds of ontwikkelframeworks.
Bovendien, Scribe's SBOM-tracking helpt de oorsprong van elk onderdeel te identificeren, zodat organisaties snel de risico's van gecompromitteerde opslagplaatsen kunnen identificeren en beperken.
8. Fantasy Wiper Attack (december 2022) – Kwaadaardige updatedistributie
De Fantasie Wiper Aanval, waarbij een kwaadaardige update via Kaseya VSA-software werd verspreid, benadrukt het gevaar van gecompromitteerde software-updates. Scribe Security's continue monitoring van software-updates zorgt ervoor dat eventuele discrepanties in updates worden gemarkeerd voordat ze over het netwerk worden geïmplementeerd. Door de herkomst van elke update te verifiëren, zorgt Scribe ervoor dat alleen legitieme en veilige updates naar productie worden gepusht.
Bovendien, Scribe's terugdraaimogelijkheden zorgen ervoor dat organisaties snel kunnen terugkeren naar veilige versies van software als er een schadelijke update wordt gedetecteerd, waardoor de uitvaltijd en verstoring tot een minimum worden beperkt.
Conclusie: de software-toeleveringsketen beschermen met Scribe Security
Het platform van Scribe Security biedt een gelaagde aanpak voor het beveiligen van de software-toeleveringsketen. continu SBOM-beheer, scannen op kwetsbaarheden, realtime monitoring en integriteitscontroleshelpt het platform organisaties bij het detecteren en voorkomen van aanvallen op de toeleveringsketen, zoals die waarmee SiSense, Okta, 3CX en anderen te maken hebben.
Door beveiliging te integreren in elke fase van de ontwikkelingscyclus en de softwareleveringsketen continu te bewaken, zorgt Scribe Security ervoor dat organisaties kunnen voorkomen dat kwaadwillenden misbruik maken van kwetsbaarheden, dat ze naleving kunnen handhaven en dat de risico's die samenhangen met componenten van derden kunnen beperken.
Deze inhoud wordt u aangeboden door Scribe Security, een toonaangevende aanbieder van end-to-end software supply chain-beveiligingsoplossingen die state-of-the-art beveiliging levert voor codeartefacten en codeontwikkelings- en leveringsprocessen in de software supply chain. Meer informatie.
Gerelateerde berichten
